Siber suçlular, yakın tarihli bir operasyonda Facebook oturum açma bilgilerini çalmak için kötü amaçlı Chrome uzantılarını kullanıyor.
Malwarebytes Labs tarafından paylaşılan raporlarda ayrıca sponsorlu paylaşımların ve Meta/Facebook’un Reklam Yöneticisi kimliğine bürünen hesapların daha yaygın hale geldiği belirtiliyor.
Facebook reklam hesaplarına ağırlık verilerek bir süredir aktif olan DuckTail gibi tehdit aktörleri Meta tarafından izlendi ve araştırıldı.
Malwarebytes, “Toplamda, Chrome uzantıları yükleyen veya bunun yerine geleneksel kötü amaçlı yürütülebilir dosyaları kullanan 20’den fazla farklı kötü amaçlı Facebook Ad Manager arşivi belirledik” diyor.
ABD’de 310 dahil olmak üzere dünya çapında 800’den fazla kurban bildirildi.
Kötü Amaçlı Chrome Uzantısı
Araştırmacılar, MSI yükleyicisi bittiğinde, toplu komut dosyasının çalıştırıldığını ve önceki yükleme yolundaki özel uzantıyla başlatılan yeni bir tarayıcı penceresi oluşturduğunu ve kurbanı Facebook oturum açma sayfasına yönlendirdiğini açıklıyor.
Araştırmacılar, “Kötü amaçlı Google Chrome uzantıları, oturum açma bilgilerini çalmak ve çıkarmak için kullanılıyor” dedi.
Araştırmacılar, “Bu özel uzantı, akıllıca Google Çeviri olarak gizlenmiş ve Chrome Web Mağazası yerine yerel bilgisayardan yüklendiği için ‘Paketlenmemiş’ olarak kabul ediliyor” diye açıklıyor.
Gerçekte, kod tamamen Facebook’u hedef alır ve bir saldırganın hesaplara giriş yapmasını sağlayan önemli veri bitlerini elde eder.
Tehdit aktörlerinin cookie.getAll tekniği ile aradıkları Facebook çerezlerine olan ilgileri.
Sahte Reklam Yönetici Hesapları
Dolandırıcılar, Meta’dan reklam satın almak için doğrulanmış hesapları kullandı. Reklamlarını “daha profesyonel ve güvenli bir araçla” yönetmek için potansiyel kurbanları yazılım indirmeye ikna etmeye çalışıyorlardı.
“Bu sahte hesapların genellikle on binlerce takipçisi var ve gönderilerinden herhangi biri hızla viral hale gelebilir.
Dolandırıcılar öncelikle platformda reklam dolarları harcayabilecek işletme kullanıcılarını hedefliyor” dedi araştırmacılar.
Bu hesapları ele geçirmenin ilk adımı, potansiyel kurbanları harici web sitelerine yönlendirmektir.
Bir indirme bağlantısı aracılığıyla tanıtılan Facebook Reklam Yöneticisi programı, yem görevi görür.
Son düşünceler
İşletmeler, belirli gönderilere tıklayarak ve gelirlerini artırdığını iddia eden programları yükleyerek Facebook reklam kampanyalarını optimize etmeye ikna edilebilir.
Talimatlar programın güvenli ve kötü amaçlı yazılım içermediğini vaat etse bile, bu son derece riskli bir uygulamadır.
Sonuç olarak, bu kötü niyetli Facebook Ad Manager yükleyicilerinden birini indirdiyseniz, dolandırıcıların oluşturmuş olabileceği Business Manager hesap profillerinden tanımadığınız kullanıcıların erişimini geri çekmeli ve işlem geçmişlerini analiz etmelisiniz.